Adobe Commerce 2.4.3-p2 - 2.4.5 Sicherheits-Hotfix für CVE-2022-35698
Am 11. Oktober 2022 veröffentlichte Adobe die regelmäßig geplanten Sicherheits-Patches 2.4.5-p1 und 2.4.4-p2 für Adobe Commerce und Magento Open Source.
Unter diesen Patches ist ein Update, das eine Cross-Site-Scripting-Schwachstelle (gespeichertes XSS) (CWE-79) behebt, die von CVE-2022-35698 als wichtig eingestuft wurde.
Adobe sind keine Exploits für dieses Problem bekannt.
In diesem Artikel finden Sie Hotfix-Patches für dieses Problem für frühere Versionen von Adobe Commerce und Magento Open Source.
Betroffene Produkte und Versionen
Adobe Commerce auf Cloud-Infrastruktur und On-Premise und Magento Open Source:
- 2,4,5
- 2.4.4, 2.4.4-P1
- 2.4.3-p2, 2.4.3-p3
- 2.3.7-p3, 2.3.7-p4
- 2.4.3-p1 und älter als 2.4.3-p1 sind nicht betroffen, wenn alle geltenden 2.4.x-Sicherheits-Hotfixes angewendet werden (eine Liste aller für Ihre Version geltenden Sicherheits-Hotfixes finden Sie hier).
- 2.3.7-p2 und älter als 2.3.7-p2 sind nicht betroffen, wenn alle geltenden 2.3.x-Sicherheits-Hotfixes angewendet werden (eine Liste aller für Ihre Version geltenden Sicherheits-Hotfixes finden Sie hier).
Lösung für Adobe Commerce auf Cloud-Infrastruktur und On-Premise und Magento Open Source
Um die Sicherheitslücke zu beheben, wenn Sie sich in Adobe Commerce in der Cloud-Infrastruktur und lokal oder in der Magento Open Source befinden, müssen Sie einen ACSD-47578 Patch anwenden.
Lösung für Adobe Commerce in Cloud-Infrastrukturen und für Händler vor Ort mit den Versionen 2.3.7-p3 und 2.3.7-p4, die unser erweitertes Support-Angebotsprogramm erworben haben
Adobe Commerce on Cloud Infrastructure and On-Premises Merchants on 2.3.7-p3 and 2.3.7-p4 versions, die unser erweitertes Support-Angebotsprogramm erworben haben, müssen den ersten Sicherheits-Patch für erweiterten Support 2.3.7 anwenden, der vom Marketplace-Portal im My Account/Downloads
-Abschnitt heruntergeladen werden kann.
Lösung für Adobe Commerce für Cloud-Infrastruktur- und On-Premise-Händler, die nicht am erweiterten Support-Programm teilnehmen, und Magento Open Source-Händler in den Versionen 2.3.7-p3 und 2.3.7-p4
Adobe Commerce für Cloud-Infrastrukturen und lokale Händler, die nicht am erweiterten Support-Programm teilnehmen, und Magento Open Source-Händler für die Versionen 2.3.7-p3 und 2.3.7-p4 müssen auf eine unterstützte Version 2.4.x aktualisieren.
Fleck
Verwenden Sie je nach Adobe Commerce-/Magento Open Source-Version die folgenden angehängten Patches:
Für die Versionen 2.4.4, 2.4.4-p1, 2.4.5:
Für die Versionen 2.4.3-p2, 2.4.3-p3:
Anbringen des Pflasters
Entpacken Sie die Datei und Sie in unserer SupportWissensdatenbank die Anleitung „So wenden Sie einen Composer-Patch von Adobe an“.
Wie man feststellt, ob die Patches angewendet wurden
Da es nicht einfach möglich ist, zu überprüfen, ob das Problem behoben wurde, sollten Sie überprüfen, ob der ACSD-47578 Patch erfolgreich angewendet wurde.
Sie können dies tun, indem Sie die folgenden Schritte ausführen:
-
Führen Sie den Befehl aus:
code language-bash vendor/bin/magento-patches -n status |grep "47578|Status"
-
Es sollte eine ähnliche Ausgabe angezeigt werden, bei der ACSD-47578 den Status Angewendet zurückgibt:
code language-bash ║ Id │ Title │ Category │ Origin │ Status │ Details ║ ║ N/A │ ../m2-hotfixes/ACSD-47578__2.4.4_2.4.5_COMPOSER_patch.patch │ Other │ Local │ Applied │ Patch type: Custom
Sicherheits-Updates
Für Adobe Commerce verfügbare Sicherheitsupdates: